web网络安全解决方案

web网络安全解决方案

（文档版本号:V1.0）

沈阳东网科技有限公司

修订记录

目录

一、前言1ﻩ

二、ﻩ如何确保ｗeb的安全应用1ﻩ

三、常见部署模式ﻩ１

四、需求说明............................................................................................ 错误!未定义书签。

五、网络拓扑 (6)

六、总结 (6)

一、前言

Web应用处在一个相对开放的环境中,它在为公众提供便利服务的同时,也极易成为不法分子的攻击目标，黑客们已将注意力从以往对网络服务器的攻击逐步转移到了对Web应用的攻击上。当前,信息安全攻击约有7５%都是发生在Weｂ应用而非网络层面上。

Wｅb攻击者针对Wｅb应用程序的可能漏洞、Ｗeb系统软件的不当配置以及htt ｐ协议本身薄弱之处,通过发送一系列含有特定企图的请求数据,对Web站点特别是Wｅb应用进行侦测和攻击,攻击的目的包括：非法获得站点信息、篡改数据库和网页、绕过身份认证和假冒用户、窃取用户资料和数据、控制被攻击的服务器等。

目前，利用网上随处可见的攻击软件，攻击者不需要对网络协议有深厚理解,即可完成诸如更换Ｗeb网站主页、盗取管理员密码、破坏整个网站数据等等攻击。而这些攻击过程中产生的网络层数据，和正常数据没有什么区别。

二、如何确保ｗeｂ的安全应用

在Web系统的各个层面,都会使用不同的技术来确保安全性:为了保护客户端机器的安全，用户会安装防病毒软件；为了保证用户数据传输到Web服务器的传输安全，通信层通常会使用SＳL技术加密数据;为了阻止对不必要暴露的端口和非法的访问，用户会使用网络防火墙和IDS/IPS来保证仅允许特定的访问。

但是,对于Weｂ应用而言，Wｅb服务端口即80和4４3端口是一定要开放的,恶意的用户正是利用这些Ｗｅb端口执行各种恶意的操作,或者偷窃、或者操控、或者破坏Ｗeｂ应用中的重要信息。而传统安全设备仅仅工作在网络层上，并不能精确理解应用层数据，更无法结合Web系统对请求进行深入分析,针对应用层面的攻击可以轻松的突破传统网络防火墙和IDS／IP保护的网站。

因此，在大量而广泛的Wｅb网站和Web应用中,需要采用专门的Weｂ安全防护系统来保护Weｂ应用层面的安全,ＷＡF（Ｗeb Ａpplｉcatioｎ Fireｗalｌ，WEB应用防火墙）产品开始流行起来。

WAＦ产品按照形态划分可以分为三种，硬件、软件及云服务。软件WＡF由于功能及性能方面的缺陷，已经逐渐被市场所淘汰。云ＷＡF近两年才刚刚兴起，产品及市场也都还未成熟。与前两种形态相比,硬件WAF经过多年的应用,在各方面都相对成熟及完善，也是目前市场中WAF产品的主流形态。

既然是硬件产品，网络部署对于用户来说,是一个必须要考虑的问题。纵观国内外的硬件WAF产品,通常一个产品会支持多种部署模式。这也给用户在购买或部署产品时带来了困惑。以下将对硬件ＷAF几种常见的部署模式做一个介绍。

三、常见部署模式

1.ＷAＦ部署位置

通常情况下，WAＦ放在企业对外提供网站服务的ＤMZ区域或者放在数据中心服务区域,也可以与防火墙或IPS等网关设备串联在一起（这种情况较少)。总之，决定WAＦ部署位置的是WＥB服务器的位置。因为WEB服务器是WAＦ所保护的对象。部署时当然要使ＷAF尽量靠近WEＢ服务器。

2.WAF部署模式分类

根据WAF工作方式及原理不同可以分为四种工作模式:透明代理模式、反向代理模式、路由代理模式及端口镜像模式。前三种模式也被统称为在线模式,通常需要将WAF串行部署在WEＢ服务器前端,用于检测并阻断异常流量。端口镜像模式也称为离线模式，部署也相对简单,只需要将WＡＦ旁路接在ＷＥB服务器上游的交换机上，用于只检测异常流量。

图1：WAF部署模式分类

3.WAＦ几种部署模式的技术原理

4.WAF几种部署模式的典型拓扑

典型拓扑也称网

5.WAF几种部署模式的优缺点

四、需求说明

公司现有主营云托管,租用业务,本着高性能、高效率、高可用性、高经济性原则。提出如下需求：

1.设备本身的高性能，并发连接数高,大吞吐量,很好的解决了平均在线人数众多,

连接不正常的问题。

2.高性能的负载均衡功能，支持多种均衡算法，保障网络带宽的稳定。

3.多台设备的双机热备功能。

4.网页防护功能实时检测页面篡改，网页防盗链,防止敏感信息、服务器信息的泄

露，阻断攻击探测,有效防止WEB应用信息泄露、篡改,恶意截取。

5.智能应用感知,自动分析双向HTTP流量，基于URＬ、表单类型、参数类型等

信息应用访问知识库，防止未知攻击。

6.支持httｐs访问服务的保护。

7.全面的协议分析，支持Ｃookie保护,防范ｈtｔp ｆloｏd攻击。

8.WEB漏洞扫描，支持主动扫描，及时发现并弥补系统漏洞，减少被攻击的可

能。

9.内置WEB诱捕系统,吸引攻击者注意力,暴露攻击者行踪,转移应用风险，支持

第三方蜜罐系统,采集攻击行为，记录攻击手法，完善网络防御体系。

10.全面的应用控制，控制不同区域用户对敏感资源的访问时间，减少安全风险，

针对不同资源保护等级的要求，进行安全认证。

11.基于用户访问的行为分析与审计,对攻击来源、数据、时间、处理结果提供灵活

查询和过滤。

12.支持万兆光纤接口

五、网络拓扑

六、总结

根据目前网络拓扑结构选用带有反向代理模式或者路由模式的wpf设备。

反向代理模式提供外网和内网隔离ｗeb防护功能，所有ｗｅb流量经过ｗaf设备再转发到内网服务器上。提供内外网隔离和安全防护，设备本身可以提供负载均衡、CD Ｎ、双机热备功能。

路由模式由外网防火墙USG6680指向目标路由指向到waf设备,waf设备防护后转发到服务器上。这种形式部署透明,web防护开关切换比较灵活适合与云平台联动后实现云平台安全防护功能。